- •Лабораторная работа № 4 Задание 1. Аудит и журналы безопасности Windows
- •Теоретические сведения
- •Общие понятия
- •Политика аудита
- •Аудит событий входа учетных записей в систему.
- •Аудит событий входа в систему.
- •Аудит изменения политики.
- •Аудит отслеживания процессов.
- •Аудит системных событий
- •События аудита
- •Управление аудитом
- •Порядок выполнения задания
- •Теоретические сведения
- •Общие сведения об efs
- •Принцип действия efs
- •Особенности шифрования efs
- •Восстановление данных
- •Порядок выполнения работы.
Особенности шифрования efs
При использовании EFS следует учитывать следующие её особенности:
Могут быть зашифрованы только файлы и папки, находящиеся на томах NTFS.
Сжатые файлы и папки не могут быть зашифрованы. Если шифрование выполняется для сжатого файла или папки, файл или папка преобразуются к состоянию без сжатия.
Зашифрованные файлы могут стать расшифрованными, если файл копируется или перемещается на том, не являющийся томом NTFS.
При перемещении незашифрованных файлов в зашифрованную папку они автоматически шифруются в новой папке. Однако обратная операция не приведет к автоматической расшифровке файлов. Файлы необходимо явно расшифровать.
Не могут быть зашифрованы файлы с атрибутом «Системный» и файлы в структуре папок системный корневой каталог.
Шифрование папки или файла не защищает их от удаления. Любой пользователь, имеющий права на удаление, может удалить зашифрованные папки или файлы. По этой причине рекомендуется использование EFS в комбинации с разрешениями системы NTFS.
Могут быть зашифрованы или расшифрованы файлы и папки на удаленном компьютере, для которого разрешено удаленное шифрование. Однако если зашифрованный файл открывается по сети, передаваемые при этом по сети данные не будут зашифрованы. Другие протоколы, например SSL/TLS или IPSec, должны использоваться для шифрования данных, передаваемых по сети.
Средства шифрования/дешифрования EFS
Для шифрования/дешифрования данных (папок и файлов) средствами EFS можно воспользоваться двумя способами:
Установка атрибута «Шифровать содержимое для защиты данных» в свойствах файла или папки.
Консольная команда cipher.
Восстановление данных
Восстановление данных подразумевает процесс расшифровки файла без закрытого ключа пользователя, зашифровавшего файл.
Восстановление данных EFS может потребоваться в случае порчи или утери закрытого ключа шифрования пользователя (например, после удаления учетной записи пользователя, переустановки ОС, сбоя жесткого диска и т.п.). Восстановление данных доступно для EFS как часть общей политики безопасности для системы. Оно возможно лишь с помощью лица назначенного агентом восстановления.
Агент восстановления - это пользователь, уполномоченный расшифровывать данные, зашифрованные другим пользователем. Агентам восстановления не нужны никакие другие разрешения для выполнения задачи.
У каждого агента восстановления есть специальный сертификат с соответствующим закрытым ключом, позволяющий восстанавливать данные в области влияния политики восстановления.
Если компьютер является членом домена, то агентом по восстановлению по умолчанию является администратор домена, как для Windows 2000, так и для Windows XP. Если машина не является членом домена, всё по другому. В Windows 2000 агентом по восстановлению по умолчанию является локальный администратор. Более того, именно вокруг локального администратора и строится вся политика шифрования, поэтому если отобрать у локального администратора права агента по восстановлению, шифрование перестанет работать вообще. Такая ситуация далеко не идеальна, потому что у пользователей нет выбора, либо локальный администратор может читать их зашифрованные файлы, либо шифрование не работает, и администратор всё равно может читать файлы. Поэтому единственное усовершенствование функций шифрования, которое произошло в Windows XP по сравнению с Windows 2000, это изменение системной политики для шифрования. В Windows XP шифрование больше не завязано на локальном администраторе, поэтому в по умолчанию вообще нет агентов по восстановлению. То есть, DRF зашифрованных файлов остаётся пустым, и в случае утери личного ключа пользователя зашифровавшего файл восстановить его невозможно. Разве что взломом "в лоб" RSA алгоритма, которым зашифрован FEK записанный в файле, а это совсем не просто сделать. Решить данную проблему можно двумя способами:
Экспорт личного ключа и сохранение его на внешнем надежном носителе (например, через оснастку «Сертификаты» - certmgr.msc).
Назначение какого-либо пользователя в качестве агента по восстановлению.
Процесс создания в системе агента восстановления происходит в два этапа:
Создание сертификата, дающего право его владельцу стать агентом по восстановлению (консольной командой cipher);
Назначение пользователя, который должен стать агентом по восстановлению зашифрованных данных (через оснастку «Локальная политика безопасности» - secpol.msc). Если этот пользователь не является создателем сертификата агента восстановления, то сертификат необходимо сначала импортировать (например, через оснастку «Сертификаты» - certmgr.msc).
С этого момента во все файлы, которые будут шифроваться на данной машине, будет добавляться DRF с атрибутами этого пользователя, и он сможет их расшифровывать. Однако важно подчеркнуть, что это относится только к файлам, зашифрованным после того, как пользователь стал агентом по восстановлению, и никоим образом не относится к файлам зашифрованным раньше.